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ENTITE ELECTROMIQUE SECURISEE 
INTEGRANT LA GESTION DE LA DUREE DE VIE D'UN OBJET 

L'invention se rapporte a une entite electronique securisee adaptee a 
5 memoriser au moins un objet et a notamment pour objet un perfectionnement 
apporte a une telle entite electronique pour que celle-ci puisse effectuer une 
gestion d'une duree de vie attribuee a I'objet, qui s'ecoule a partir d'une date de 
reference associee a cet objet. 

On entend ici une gestion du temps "dans" I'entite electronique au sens ou 
10 cette gestion est independante de tout systeme exterieur de mesure du temps, 
qu'il s'agisse par exemple d'un generateur de signal d'horloge ou de tout autre 
moyen de mesure du temps situe a I'exterieur par rapport a I'entite electronique. 

. Ces specificites permettent de rendre relativement inviolable I'entite 
electronique objet de la presente invention. 
15 Dans toute la suite, la duree de vie d'un objet s'entend aussi bien com.me 

une duree totale d'utilisation de cet objet que comme une duree forfaitaire 
choisie a I'avance, independante de la duree d'utilisation effective de I'objet. !•( 

L'invention peut s'appliquer a toute entite electronique securisee, comme, 
par exemple, une carte a microcircuit securisee, comportant des moyens. lui 
20 permettant d'etre couplee au moins temporairement a une source d'energie 
electrique pour la mise en oauvre au moins d'une operation. L'invention peut 
notamment permettre de gerer la duree de vie de la carte elle-meme ou d'objets 
contenus dans la carte, en I'absence de source permanente d'alimentation en 
energie. 

25 L'entite electronique peut etre par exemple une carte a microcircuit telle 

qu'une carte bancaire, une carte de contrdle d'acces, une carte d'identite, une 
carte SIM ou une carte memoire (telle qu'une carte SD (Secured Digital) de 
Panasonic), ou peut etre une carte PCMCIA (architecture international de 
cartes-memoire d'ordinateurs individuels, en anglais '^Personal Computer 

30 Memory Card International Architecture") (par exemple, une carte IBM 4758). 

La securite d'un objet memorise dans une telle entite electronique peut 
etre amelioree s'il est possible de prendre en compte le temps qui s'est ecoule 
depuis une date de reference liee a cet objet, que I'objet soit le systeme 
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Sexploitation de la carte ou un code secret (code PIN, cle, certificat), un fichier 
de donnees ou un systeme de fichiers, une application ou encore des droits 
d'acces. 

II existe des applications, telles que la gestion de droits numeriques de 
type DRM (en anglais "Digital Right Management'), qui necessitent d'utiliser un 
temps certifie, c'est-a-dire provenant d'une mesure du temps securisee. 

D'autre part, limiter la duree de validite de certaines donnees secretes 
memorisees dans une carte a microcircuit, telles qu'une cl6, un certificat ou un 
code PIN, permet d'augmenter la securite de la carte. 

En outre, on peut utiliser la limitation de la duree de validite pour gerer 
certains objets dans la carte, par exemple pour la gestion de versions 
successives d'une application ou le "recyclage des dechets", c'est-a-dire la 
liberation d'espace memoire correspondant a des objets qui ne sont plus utilises 
(technique dite du "garbage collector ou collecte des dechets). 

A la connaissance du demandeur, il n'existe pas, dans les cartes a 
microcircuit connues, de possibility de mesurer le temps de facon securisee et 
autonome ou de limiter la duree de validite d'objets memorises dans la carte. 
Cela augmente les probabilites de piratage de ces objets en laissant a un 
individu mal intentionne I'opportunite de les utiliser de facon frauduleuse, par 
exemple en fournissant a la carte une fausse indication du temps. 

La presente invention a pour but de remedier a ces inconvenients, en 
empechant un attaquant d'utiliser de facon frauduleuse une entite electronique 
securisee, ou un ou plusieurs objets memorises dans celle-ci. Pour ce faire, la 
presente invention integre dans I'entite electronique la gestion de la duree de vie 
attribuee a ce ou ces objets, voire a I'entite electronique elle-meme. 

Dans ce but, I'invention propose une entite electronique securisee 
comportant une unite adaptee a memoriser au moins un objet, remarquable en 
ce qu'elie contient une unite de mesure du temps qui s'ecoule a partir d'une date 
de reference associee a cet objet et en ce qu'elie comporte : 

- une unite de memorisation d'une duree de vie attribuee a I'objet, 
I'unite de memorisation cooperant avec I'unite de mesure du temps de facon a 
comparer le temps ecoule et la duree de vie et 




- une unite de mise a jour et d'invalidation, pour mettre a jour la 
duree de vie ou Pobjet ou rendre Pobjet temporairement ou definitivement 
inutilisable s'il resulte de la comparaison precitee que le temps ecoule atteint ou 
depasse la duree de vie. 
5 Conformement a Pinvention, les moyens permettant de determiner le 

temps qui s'ecoule a partir de la date de reference se situent dans Pentite 
electronique, ce qui permet d'augmenter sa securisation. 

Comme indique plus haut, la duree de vie precitee peut, soit correspondre 
a la duree totale d'utilisation effective de Pobjet, soit etre une periode de temps 
10 independante de la duree totale d'utilisation effective de Pobjet. 

Dans le cas oCj la duree de vie est independante de la duree totale 
d'utilisation effective de Pobjet, la date de reference est une date qui marque le 
debut de la mesure du temps. Elle est eventuellement, mais non 
necessairement, memorisee dans Pentite electronique. Dans le cas ou la dure,e 

■Jr« 

15 de vie correspond a la duree totale d'utilisation effective de Pobjet, on mesure l$ 
temps ecoule lors de chaque utilisation de cet objet, la date de reference etant a 
chaque fois la date de debut d'utilisation. 4 
Avantageusement, Punite de mesure du temps est adaptee a fournir un£ 
mesure du temps qui s'ecoule a partir de la date de reference m§me lorsque 
20 Pentite electronique n'est pas alimentee par une source d'energie exterieure. 

Avantageusement, Punite de mesure du temps est adaptee a fournir une 
mesure du temps qui s'ecoule a partir de la date de reference meme lorsque 
Pentite electronique n r est pas alimentee electriquement. 

Avantageusement, Punite de mesure du temps est adaptee a fournir une 
25 mesure du temps qui s'ecoule a partir de la date de reference independamment 
de tout signal d E horloge exterieur. 

En ce sens, Pentite electronique est autonome, a la fois du point de vue de 
la mesure du temps et du point de vue de Palimentation electrique. 

En variante, on peut bieri entendu prevoir une pile et/ou une horloge dans 
30 Pentite electronique. 

Uunite de mesure du temps peut comporter un moyen de comparaison de 
deux dates, une date etant, de fa$on generate, une expression du temps courant 
et ces deux dates s'entendant ici comme deux instants definis par rapport a une 




meme reference temporelle, laquelle est par exemple la date de reference 
associee a I'objet dont I'entite electronique controle la duree de vie. Le moyen de 
comparaison peut comparer la date courante directement a la date de reference 
de I'objet, ce qui permet de deduire directement la duree de vie restante de 
I'objet. En variante, le moyen de comparaison peut comparer, a chaque 
utilisation de I'objet, la date de fin d'utilisation a la date de debut d'utilisation et 
additionner cette duree aux durees qui auront ete calculees pour les utilisations 
anterieures de 1'objet. Ensuite, le moyen de comparaison verifie si cette duree 
cumulee est ou non superieure a la duree de vie fixee pour cet objet. 

L'unite de memorisation de la duree de vie comporte avantageusement 
une entite securisee et peut etre situee dans ou hors de I'entite electronique. 

Comme mentionne en introduction, a titre d'exemples non limitatifs, I'objet 
peut etre le systeme d'exploitation d'une carte, un code secret (code PIN, cle ou 
certificate un fichier ou un systeme de fichiers, une application ou encore des 
droits d'acces. La date de reference associee a I'objet peut etre la date a laquelle 
I'objet a ete cree dans I'entite electronique. 

Dans un mode de realisation prefere de la presente invention, I'entite 
electronique securisee comporte au moins un sous-ensemble comprenant : 

un composant capacitif presentant une fuite au travers de son espace 
dielectrique, des moyens permettant de coupler ce composant capacitif a une 
source d'energie electrique pour etre charge par la source d'energie electrique et 

un moyen de mesure de la charge residuelle du composant capacitif, 
cette charge residuelle etant au moins en partie representative du temps qui 
s'est ecoule apres que le composant capacitif a ete decouple de la source 
d'energie electrique. 

Dans ce cas, le composant capacitif du sous-ensemble precite ne peut 
etre charge que lorsque I'entite electronique securisee est couplee a la source 
d'energie electrique. Cette derniere peut etre exterieure a I'entite electronique 
securisee, mais ce n'est pas imperatif : en variante, on peut prevoir d'alimenter 
I'entite electronique par une pile disposee dans ou sur celle-ci. 

L'entite electronique pourra etre pourvue d'un moyen de commutation 
pour decoupler le composant capacitif de la source d'energie electrique, cet 
evenement initialisant la mesure du temps. 




Pius generalement, la mesure du temps, c'est-a-dire la variation de 
charge du composant capacitif, commence des que, apres avoir ete charge, 
celui-ci se trouve electriquement isole de tout autre circuit et ne peut plus se 
decharger qu'a travers son propre espace dielectrique. 
5 Cependant, m£me si, physiquement, la charge residuelle mesuree est liee 

£ Pintervalle de temps ecoule entre Pisolement de Pelement capacitif et une 
mesure donnee de sa charge residuelle, un intervalle de temps mesure peut etre 
determine entre deux mesures, la premiere mesure determinant en quelque 
sorte une charge r§siduelle de reference. Le moyen de mesure de la charge 
10 residuelle du composant capacitif est mis en oeuvre lorsqu'on desire connaTtre 
un temps ecoule. 

Le composant capacitif est charge au cours d ! une utilisation de Pobjet dont 
Pentite electronique controle la duree de vie, cette "utilisation" s f entendant au 
sens le plus large et incluant par exemple la creation de Pobjet Le moyen de 

15 mesure de la charge residuelle est mis en oeuvre au cours d'une telle utilisation 
pour fournir une information, soit representative du temps qui s'est ecoule depute 
la date de reference, soit representative de la duree totale d'utilisation de I'objet; 
selon que la dur6e de vie de Pobjet est independante ou non de la duree 
d'utilisation effective de cet objet 

20 Par ailleurs, Pinvention permet en outre a Pentite electronique securisee 

de continuer a mesurer le temps ecoule, meme apres que Pentite electronique a 
ete temporairement alimentee en courant et qu'elle se trouve ensuite depourvue 
de toute nouvelle alimentation electrique. L'invention ne necessite done pas 
d'utiliser une source d f energie electrique en permanence. 

25 Le moyen de mesure de la charge residuelle peut etre compris dans 

Punite de mesure du temps mentionnee plus haul 

Dans le mode prefer^ de realisation, le moyen de mesure de la charge 
residuelle comprend un transistor a effet de champ dont la grille est connectee a 
une borne du composant capacitif, e'est-a-dire a une "armature" d'une capacite. 

30 Une telle capacite peut etre realisee en technologie MOS et son espace 

dielectrique peut alors etre constitue par un oxyde de silicium. Dans ce cas, il est 
avantageux que le transistor a effet de champ soit realise egalement en 
technologie MOS. La grille du transistor a effet de champ et l m armature" du 
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composant capacitif MOS sont reliees et constituent une sorte de grille flottante 
qui peut etre connectee a un composant permettant d'injecter des porteurs de 
charge. 

On peut aussi faire en sorte qu'll n'existe aucune connexion electrique a 
proprement parler avec I'environnement exterieur. La connexion de la grille 
flottante peut etre remplacee par une grille de contrdle (electriquement isolee) 
qui vient charger la grille flottante, par exemple par effet tunnel ou par "porteurs 
chauds". Cette grille permet de faire transiter des porteurs de charge vers la 
grille flottante commune au transistor a effet de champ et au composant 
capacitif. Cette technique est bien connue des fabricants de memoires de type 
EPROM ou EEPROM. 

Le transistor a effet de champ et le composant capacitif peuvent 
constituer une unite integree dans un microcircuit compris dans I'entite 
electronique securisee ou faisant partie d'un autre microcircuit loge dans une 
15 autre entite securisee, telle qu'un serveur. 

A certains instants, periodiques ou non, durant ('utilisation de I'objet dont 
la duree de vie est controlee par I'entite electronique securisee, lorsque I'entite 
electronique securisee est couplee a une source d'energie electrique exterieure 
le composant capacitif est charge a une valeur predetermined, connue ou 
mesuree et memorisee, et le moyen de mesure de la charge residuelle est relie 
a une borne de ce composant capacitif. 

Lorsque I'objet n'est pas utilise, le moyen de mesure de la charge 
residuelle, notamment le transistor a effet de champ, n'est plus alimente mais sa 
grille reliee a la borne du composant capacitif est portee a une tension 
25 correspondant a la charge de celui-ci. 

Lorsque la duree de vie est independante de la duree effective d'utilisation 
de I'objet, pendant toute la periode de temps qui separe la date de reference 
associee a I'objet de la date de son utilisation courante, le composant capacitif 
se decharge lentement au travers de son propre espace dielectrique de sorte 
que la tension appliquee sur la grille du transistor a effet de champ diminue 
progressivement. 

Au moment ou I'entite electronique est a nouveau connectee a une source 
d'energie electrique, lorsque I'objet est a nouveau utilise, une tension electrique 
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est appliquee entre le drain et la source du transistor a effet de champ. Ainsi, un 
courant electrique allant du drain vers la source (ou dans le sens contraire selon 
les cas) est engendre et peut etre recueilli et analyse. 

La valeur du courant electrique mesure depend des parametres 
technologiques du transistor a effet de champ et de la difference de potentiel 
entre le drain et la source, mais aussi de la tension entre la grille et le substrat. 
Le courant depend done des porteurs de charge accumules dans la grille 
flottante commune au transistor a effet de champ et au composant capacitif. Par 
consequent, ce courant de drain est aussi representatif du temps qui s'est ecoule 
entre la date de reference et la date courante. 

Le courant de fuite d'une telle capacite depend bien sur de I'epaisseur de 
son espace dielectrique mais egalement de tout autre parametre dit 
technologique tel que les longueurs et surfaces de contact des elements du 
composant capacitif. II faut egalement prendre en compte I'architecture 
tridimensionnelle des contacts de ces parties, qui peut induire des phenomene.s 
modifiant les parametres du courant de fuite (par exemple, modification de la 
valeur de la capacite dite tunnel). Le type et la quantite des dopants et des 
defauts peuvent etre modules pour modifier les caracteristiques du courant de 
fuite. 

Les variations de temperature ont aussi une influence, plus precisement la 
moyenne des apports d'energie calorifique appliques a I'entite electronique 
securisee pendant le temps d'utilisation de I'objet. En fait, tout parametre 
intrinseque a la technologie MOS peut etre source de modulation du processus 
de la mesure du temps. 

Avantageusement, I'epaisseur de la couche isolante du transistor a effet 
de champ est notablement superieure (par exemple environ trois fois superieure) 
a I'epaisseur de la couche isolante du composant capacitif. 

Quant a I'epaisseur de la couche isolante du composant capacitif, elle est 
avantageusement comprise entre 4 et 10 nanometres. 

Pour obtenir une information sensiblement uniquement representative du 
temps, on peut prevoir, dans une variante de realisation, au moins deux sous- 
ensembles tels que definis ci-dessus, exploites "en parallele". Les deux 
composants capacitifs sensibles a la temperature sont definis avec des fuites 
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differentes, toutes choses egales par ailleurs, c'est-a-dire que leurs espaces 
dielectriques (epaisseur de la couche d'oxyde de silicium) ont des epaisseurs 
differentes. 

A cet effet, selon une disposition avantageuse de I'invention, I'entite 
electronique definie ci-dessus est remarquable en ce qu'elle comporte : 
au moins deux sous-ensembles precites comprenant chacun : 

un composant capacitif presentant une fuite au travers de son 
espace dielectrique, des moyens permettant de coupler ce composant 
capacitif a une source d'energie electrique pour etre charge par cette 
source d'energie electrique et 

un moyen de mesure de la charge residuelle du composant 
capacitif, cette charge residuelle etant au moins en partie representative 
du temps qui s'est ecoule apres que le composant capacitif a ete 
decouple de la source d'energie electrique, 

ces sous-ensembles comprenant des composants capacitifs presentant 
des fuites differentes au travers de leurs espaces dielectriques respectifs, 
et en ce que I'entite electronique securisee comporte en outre : 

des moyens de traitement des mesures des charges residuelles 
respectives de ces composants capacitifs, pour extraire de ces mesures une 
information sensiblement independante des apports calorifiques appliques a 
I'entite electronique securisee pendant le temps ecoule a partir de la date de 
reference. 

Par exemple, les moyens de traitement peuvent comporter un tableau de 
valeurs de temps memorisees, ce tableau etant adresse par ces mesures 
respectives. Autrement dit, chaque couple de mesures designe une valeur de 
temps memorisee independante de la temperature et des variations de 
temperature pendant la periode mesuree. L'entite electronique comporte 
avantageusement une memoire associee a un microprocesseur et une partie de 
cette memoire peut etre utilisee pour memoriser le tableau de valeurs. 

En variante, les moyens de traitement peuvent comporter un logiciel de 
calcul programme pour executer une fonction predeterminee permettant de 
calculer I'information temps, sensiblement independante des apports 
calorifiques, en fonction des deux mesures precitees. 
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L'invention est particulierement adaptee a s'appliquer aux cartes a 
microcircuit. L'entite electronique securisee peut etre une carte a microcircuit 
telle qu'une carte bancaire, une carte de controle d'acces, une carte d'identite, 
une carte SIM ou une carte memoire (telle qu'une carte SD de Panasonic), ou 
peut comprendre une carte a microcircuit, ou encore peut etre d'un autre type, 
par exemple, etre une carte PCMCIA (telle qu'une carte IBM 4758). 

L'invention est en outre remarquable par son niveau d'integration. 

D'autres aspects et avantages de l'invention apparaftront a la lecture de la 
description detaillee qui suit de modes particuliers de realisation, donnes a titre 
d'exemples non limitatifs. La description est faite en reference aux dessins qui 
Paccompagnent, dans lesquels : 

la figure 1 est un synoptique representant, dans un mode particulier 
de realisation, une entite electronique securisee conforme a la presente 
invention ; 

- la figure 2 est un schema-bloc d'une carte a microcircuit a laquelje 
peut s'appliquer l'invention, dans un mode particulier de realisation ; * 

la figure 3 est un schema de principe d'un sous-ensemble que l'entite 
electronique securisee peut comporter dans un mode particulier de realisation ; 
et 

la figure 4 est un schema-bloc d'une variante du mode de realisation 
des figures 1 et2. 

Comme le montre la figure 1, dans un mode particulier de realisation, une 
entite electronique securisee 11 conforme a la presente invention comporte une 
memoire non volatile 23, par exemple du type EEPROM, memorisant des 
donnees relatives a au moins un objet, tel qu'un systeme d'exploitation, un code 
secret (code PIN, cle de cryptage ou certificat, par exemple), un fichier ou un 
systeme de fichiers, une application, ou encore des droits d'acces. 

On decrit ci-apres un mode particulier de realisation ou la duree de vie 
choisie pour un objet est independante de la duree effective d'utilisation de cet 
objet. 

L'entite electronique 11 contient une unite 18 de mesure du temps qui 
s'ecoule a partir d'une date de reference Dref associee a I'objet memorise dans 
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I'EEPROM 23. Cette date de reference peut par exemple etre la date de creation 
de I'objet dans la carte. 

L'unite 18 de mesure du temps est independante de tout systeme 
exterieur de mesure du temps, qu'il s'agisse par exemple d'un generateur de 
signal d'horloge ou de tout autre moyen de mesure du temps situe a I'exterieur 
par rapport a la carte. 

L'entite electronique securisee 11 comporte egalement une unite 19 de 
memorisation de plusieurs parametres definissant I'objet dont on veut gerer la 
duree de vie dans l'entite electronique securisee : 

- un identifiant Id de I'objet, 

- la date de reference Dref precitee, et 

- une duree de vie V attribute a I'objet et determinee au prealable. 

Les operations de creation d'un objet mettent bien entendu en oeuvre des 
mecanismes securitaires pour proteger la donnee "duree de vie" V. 

L'unite de memorisation 19 peut etre confondue avec I'EEPROM 23. 
L'unite de memorisation 19 est avantageusement une memoire securisee de 
l'entite electronique 11, cette memoire etant notamment non accessible de 
I'exterieur. En variante, on peut envisager de situer l'unite de memorisation 19 
hors de l'entite electronique securisee 1 1 , dans une entite securisee exterieure. 
Dans ce dernier cas, la valeur de la duree de vie V et/ou I'identifiant Id et/ou la 
date de reference Dref sont recus de I'exterieur, de la part d'un tiers dit "de 
confiance" (autorite habilitee), par l'entite electronique securisee 11, par 
I'intermediaire d'un protocole securise (i.e. mettant en ceuvre des moyens 
cryptographiques) et sont memorises au moins temporairement dans une zone 
securisee de l'entite electronique 11. 

L'entite electronique securisee 11 comporte en outre une unite 21 de mise 
a jour et d'invalidation, commandee par l'unite 18 de mesure du temps. 

Conformement a la presente invention, l'unite de memorisation 19 
cbopere avec l'unite 18 de mesure du temps de facon a comparer le temps 
ecoule et la duree de vie V, par exemple a chaque utilisation de I'objet, ou a des 
instants quelconques auxquels on souhaite verifier la validite de I'objet. 

Si, apres comparaison du temps ecoule et de la duree de vie V, il apparait 
que la duree de vie est atteinte ou depassee, l'unite 21 de mise a jour et 




d'invalidation agit sur I'objet, pour, soit mettre a jour sa duree de vie V dans 
I'unite de memorisation 19, afin de prolonger la duree de vie de I'objet, 
moyennant la mise en oeuvre de mecanismes securitaires, soit mettre a jour 
I'objet (par exemple, en rempla9ant une version existante de I'objet par une 
nouvelle version), soit inhiber temporairement le fonctionnement de I'objet, 
pendant une periode de temps predetermine, voire rendre I'objet definitivement 
inutilisable. 

On peut prevoir dans la memoire de I'entite electronique securisee 1 1 une 
region (comprenant par exemple un fichier) contenant la date, par exemple en 
secondes, a partir de la date de reference Dref. 

Des lors, avant d'autoriser une nouvelle utilisation de I'objet, il est prevu 
de comparer la date de ('utilisation courante avec la date de reference Dref. Si la 
difference entre les deux dates est egale ou superieure a la duree de vie V, 
I'unite 21 de mise a jour et d'invalidation entre en action. 

L'invention compte. de nombreuses applications possibles, parr^i 
lesquelles on peut citer : 

- la limitation de la duree de vie d'une carte a microcircuit en fonction 
de la duree du contrat souscrit par son utilisateur, de facon a garantir qu'aucun 
usage detourne et frauduleux de la carte n'ait lieu au-dela de la dur£e 
d'utilisation prevue ; 

- la limitation, de facon analogue, de la duree de vie d'un systeme de 

fichiers ; 

- la commande d'un changement periodique, par Putilisateur, du code 
confidentiel lie a I'utilisation de I'entite electronique securisee ; 

- la definition d'une date limite de validite pour des donnees 
contenues dans un fichier, au-dela de laquelle la lecture de ces donnees sera 
rendue impossible ou du moins sera accompagnee d'une mise en garde a 
I'attention de I'utilisateur ; 

- la detection de la fin de la validite d'une application, liee par 
exemple a un evenement sportif, culturel ou artistique limite dans le temps, au- 
dela de laquelle cette application sera automatiquement supprimee ; 

- la definition d'une date d'echeance pour une periode d'essai gratuit 
d'une version devaluation d'un logiciel, au-dela de laquelle les droits d'utilisation 
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du logiciel pourront etre prolonges (moyennant la mise en oeuvre d'un 
mecanisme securitaire), apres paiement par I'utilisateur ; 

- la gestion de droits d'acces electronique a un morceau musical, un 
film ou autre, via Internet, sous forme d'abonnement forfaitaire d'une duree fixee 
a I'avance (par exemple, un mois) ou en fonction de la duree effective 
d'utilisation de ces droits d'acces (par exemple, dix heures d'ecoute) ; 

- etc. 

Dans le dernier exemple duplication mentionne ci-dessus, un utilisateur 
souhaite par exemple acceder pour une duree definie au contenu du site Internet 
d'un editeur de contenu musical. II achete a cet effet des droits d'acces au 
contenu musical pour une duree determinee, par exemple quatre heures. Apres 
verification, I'editeur envoie a I'entite electronique securisee de I'utilisateur un 
message securise d'ouverture de droits d'ecoute pour la duree prevue. A 
reception de ce message, I'entite electronique securisee cree dans sa memoire 
un objet "droit d'ecoute" et initialise la duree de vie V avec la valeur choisie, ici 
quatre heures. 

A la premiere utilisation de I'objet, c'est-a-dire lors du premier acces au 
contenu musical, i'entite electronique securisee verifie la presence de I'objet 
"droit d'ecoute" et memorise la date de debut d'ecoute. L'utilisateur accede 
ensuite au contenu musical. A chaque demande d'un secret de decryptage, 
I'entite electronique securisee verifie la presence de I'objet "droit d'ecoute" et sa 
validite, en fonction du temps actualise. Si la difference entre la date courante et 
la date de reference (qui est ici la date de debut d'ecoute) est inferieure a quatre 
heures, alors le droit est toujours valable et I'entite electronique securisee fournit 
le secret qui permet de decrypter le contenu musical. En revanche, si cetle 
difference est egale ou superieure a quatre heures, le droit n'est plus valable et 
le secret de decodage n'est plus fourni. En outre, I'entite electronique peut 
invalider temporairement I'objet "droit d'ecoute", voire le detruire. 

En cas d'arret d'utilisation de I'objet "droit d'ecoute" par I'utilisateur avant 
la fin des droits, la duree de vie de cet objet est mise a jour en fonction du temps 
restant : la nouvelle valeur de la duree de vie est egale a la duree de vie 
precedente, diminuee de la date courante ainsi que de la date de debut d'ecoute. 




Dans un autre exemple d'application de ['invention, dans le domaine des 
telecommunications mobiles, l'entite electronique securisee peut etre une carte a 
puce du type carte SIM et I'objet peut etre une application dite SAT ("SIM 
Application Toolkit', defini notamment par la norme GSM 03.48). Les 
applications peuvent etre chargees au moment de la person nalisation de la carte 
SIM, ou etre telechargees, soit en utilisant la technologie SMS (service de 
messages courts, en anglais "Short Message Service"), egalement definie par la 
norme GSM precitee, soit via un lecteur connecte a un ordinateur lui-meme 
connecte a un centre de gestion de cartes. 

L'entite electronique gere un tableau d'applications SAT contenant, pour 
chaque application, un identifiant AID de I'application, une date de reference (qui 
est par exemple la date de creation de I'application) et la duree de vie de 
I'application. 

A chaque declenchement de I'application, la carte SIM determine grace £ 
I'unite de mesure du temps si I'application est toujours valable. Si ce n'est pas le 
cas, c'est-a-dire si la difference entre la date courante et la date de creation de 
I'application est egale ou superieure a la duree de vie de I'application, la carte 
envoie une commande administrative de type DeIete_application(AID) et met a 
jour le tableau d'applications SAT. 

La figure 2 illustre une entite electronique securisee 1 1 conforme a la 
presente invention, dans un mode particulier de realisation ou cette entite est 
une carte a microcircuit. L'entite electronique securisee 1 1 comporte une unite 
12 lui permettant d'etre couplee a une source d'energie electrique exterieure 16. 

Dans le mode particulier de realisation represente, l'entite electronique 
securisee 11 comporte des plages de raccordement metalliques susceptibles 
d'etre connectees a une unite formant un lecteur de carte. Deux de ces plages 
de raccordement 13a, 13b sont reservees a I'alimentation electrique du 
microcircuit, la source d'energie electrique etant logee dans un serveur ou autre 
dispositif auquel l'entite electronique securisee est momentanement raccordee. 
Ces plages de raccordement peuvent etre remplacees par une antenne logee 
dans I'epaisseur de la carte et susceptible de fournir au microcircuit I'energie 
electrique necessaire a son alimentation tout en assurant la transmission 




bidirectionnelle de signaux radiofrequence permettant les echanges 
d'informations. On parle alors de technologie sans contact. 

Le microcircuit comprend un microprocesseur 14 associe de fagon 
ciassique a une memoire 15. 
5 Dans un exemple particulier de realisation, i'entite electronique securisee 

11 comporte au moins un sous-ensemble 17 (ou est associee a un tel sous- 
ensemble) charge de la mesure du temps. 

Le sous-ensemble 17, qui est repn§sente plus en detail sur la figure 3, est 
done loge dans I'entite electronique securisee 11. II peut faire partie du 
10 microcircuit et etre realise dans la meme technologie d'integration que celui-cL 

Le sous-ensemble 17 comprend un composant capacitif 20 presentant 
une fuite au travers de son espace dielectrique 24 et une unite 22 de mesure de 
la charge residuelle de ce composant 20. 

Cette charge residuelle est au moins en partie representative du temps 
15 ecoule apres que le composant capacitif 20 a ete decouple de la source 
d'6nergie electrique, e'est-a-dire, dans ['exemple donne ici, depuis la date de 
reference Dref associee a I'objet dont on cherche a controler la duree de vie. 

Le composant capacitif 20 est charge par la source d'energie electrique 
exterieure soit par connexion directe, comme dans Pexemple decrit, soit par tout 
20 autre moyen qui peut amener a charger la grille. L'effet tunnel est une methode 
permettant de charger la grille sans connexion directe. Dans I'exemple, la charge 
du composant capacitif 20 est pilotee par le microprocesseur 14. 

Dans I'exemple, le composant capacitif 20 est une capacite realisee 
suivant la technologie MOS. L'espace dielectrique 24 de cette capacite est 
25 constitue par une couche d'oxyde de silicium deposee a la surface d'un substrat 
26 constituant une des armatures du condensateur. Ce substrat 26 est ici 
connecte a la masse, e'est-a-dire a une des bornes d ! alimentation de la source 
d'energie electrique exterieure, lorsque celle-ci se trouve raccordee a la carte. 
Uautre armature du condensateur est un depot conducteur 28a applique sur 
30 Tautre face de la couche d'oxyde de silicium. 

Par ailleurs, Tunite 22 de mesure mentionnee precedemment comprend 
essentiellement un transistor 30 a effet de champ, ici realise suivant la 
technologie MOS, comme la capacite. La grille du transistor 30 est connectee a 




une borne du composant capacitif 20. Dans Pexemple, la grille est un depot 
conducteur 28b de meme nature que le depot conducteur 28a qui, comme 
indique ci-dessus, constitue une des armatures du composant capacitif 20. 

Les deux depots conducteurs 28a et 28b sont relies Tun a I'autre ou ne 

5 constituent qu'un seul et meme depot conducteur. Une connexion 32 reliee au 
microprocesseur 14 permet d'appliquer une tension a ces deux dep6ts 28a et 
28b, pendant un court intervalle de temps necessaire pour charger le composant 
capacitif 20. L'application de cette tension est pilotee par le microprocesseur 14. 
Plus generalement, la connexion 32 permet de charger le composant 

0 capacitif 20 a un moment choisi, sous la commande du microprocesseur 14 et 
c'est a partir du moment oti cette connexion de charge est coupee par le 
microprocesseur 14 (ou lorsque I'entite electronique securisee 11 est decouplee 
dans son ensemble de toute source d'alimentation electrique) que la decharge 
du composant capacitif 20 au travers de son espace dielectrique 24 commence, 

5 cette perte de charge electrique etant representative du temps ecoule. La 
mesure du temps implique la mise en conduction momentanee du transistor 3Q, 
ce qui suppose la presence d'une source d'energie electrique appliquee entre 
drain et source. 

Le transistor 30 a effet de champ en technologie MOS comporte, outre Ja 
0 grille, un espace dielectrique de grille 34 separant cette derniere d'un substrat 36 
dans lequel sont definies une region de drain 38 et une region de source 39. 
L'espace dielectrique de grille 34 est constitue par une couche isolante d'oxyde 
de silicium. La connexion de source 40 appliquee a la region de source 39 est 
reliee a la masse et au substrat 36. La connexion de drain 41 est reliee a un 
5 circuit de mesure du courant de drain qui comporte une resistance 45 aux 
bornes de laquelle sont connectees les deux entrees d'un amplificateur 
differentiel 46. La tension delivree a la sortie de cet amplificateur est done 
proportionnelle au courant de drain. 

La grille 28b est mise en position flottante pendant qu'on mesure le temps 
) ecoule par rapport a la duree de vie de I'objet. Autrement dit, aucune tension 
n'est appliquee a la grille pendant cette meme mesure. En revanche, puisque la 
grille est connectee a une armature du composant capacitif 20, la tension de 
grille pendant cette meme mesure est egale a une tension qui se developpe 




entre les bornes du composant capacitif 20 et qui resulte d'une charge initiate de 
celui-ci realisee sous le controle du microprocesseur 14 au cours de la demiere 
utilisation de I'objet. 

L'epaisseur de la couche isolante du transistor 30 est notablement plus 
5 grande que celle du composant capacitif 20. A titre d'exemple non limitatif, 
l'epaisseur de la couche isolante du transistor 30 peut etre environ trois fois 
superieure a l'epaisseur de la couche isolante du composant capacitif 20. Selon 
I'application envisagee, l'epaisseur de la couche isolante du composant capacitif 
20 est comprise entre 4 et 10 nanometres, environ. 

10 Lorsque le composant capacitif 20 est charge par la source d'energie 

electrique exterieure et apres que la connexion de charge a ete coupee sous la 
commande du microprocesseur 14, la tension aux bornes du composant 
capacitif 20 diminue lentement au fur et a mesure que ce dernier se decharge 
progressivement au travers de son propre espace dielectrique 24. La decharge 

15 au travers de I'espace dielectrique 34 du transistor 30 a effet de champ est 
negligeable compte tenu de l'epaisseur de ce dernier. 

A titre d'exemple nullement limitatif, si, pour une epaisseur d'espace 
dielectrique donnee, on charge la grille et I'armature du composant capacitif 20 a 
6 volts a un instant t = 0, le temps associe a une perte de charge de 1 volt, c'est- 

20 a-dire un abaissement de la tension a une valeur de 5 volts, est de I'ordre de 
24 secondes pour une epaisseur de 8 nanometres. 

Pour des epaisseurs differentes, on peut dresser le tableau suivant : 



Duree 


1 heure 


1 journee 


1 semaine 


1 mois 


Epaisseur d'oxyde 


8,17 nm 


8,79 nm 


9,17 nm 


9.43 nm 


Precision sur le temps 


1,85% 


2,09 % 


2,24 % 


3,10% 



25 La precision depend de I'erreur commise sur la lecture du courant de drain 

(0,1 % environ). Ainsi, pour pouvoir mesurer des temps de I'ordre d'une semaine, 
on peut prevoir une couche d'espace dielectrique de I'ordre de 9 nanometres. 

La figure 3 montre une architecture particuliere qui utilise une connexion 
directe a la grille flottante (28a, 28b) pour y appliquer un potentiel electrique et 




done y faire transfer des charges. On peut aussi proceder a une charge 
indirecte, comme mentionne precedemment, grace a une grille da.contr6le 
remplacant la connexion dlrecte, selon la technologie utilisee pour la fabrication 
des cellules EPROM ou EEPROM. 
5 La variante de la figure 4 prevoit trois sous-ensembles 17A, 17B, 17C, 

chacun associe au microprocesseur 14. Les sous-ensembles 17A et 17B 
comprennent des composants capacitifs presentant des fuites relativement 
faibles pour permettre des mesures de temps relativement longs. 

Cependant, ces composants capacitifs sont generalement sensibles aux 

10 variations de temperature. Le troisi&me sous-ensemble 17C comporte un 
composant capacitif presentant un espace dielectrique tres faible, Inferieur a 5 
nanometres. II est de ce fait insensible aux variations de temperature. Les deux 
composants capacitifs des sous-ensembles 17A, 17B presentent des fuites 
differentes au travers de leurs espaces dielectriques respectifs. ^ 

15 En outre, I'entite electronique securisee comporte un module .de 

traitement des mesures des charges residuelles respectives presentes dans, les 
composants capacitifs des deux premiers sous-ensembles 17A, 17B. Ce module 
de traitement est adapte a extraire de ces mesures une information 
representative des temps et sensiblement independante des apports calorifiques 

20 appliques a I'entite electronique securisee pendant le temps ecoule depuis la 
date de reference. 

Dans I'exemple, ce module de traitement se confond avec le 
microprocesseur 14 et la memoire 15. En particulier, un espace de la memoire 
15 est reserve a la memorisation d'un tableau T a double entree de valeurs de 

25 temps et ce tableau est adresse par les deux mesures respectives issues des 
sous-ensembles 17A et 17B. Autrement dit, une partie de fa memoire comporte 
un ensemble de valeurs de temps et chaque valeur correspond a un couple de 
mesures resultant de la lecture du courant de drain de chacun des deux 
transistors "des sous-ensembles 17A, 17B sensibles a la temperature. 

30 Ainsi, au debut d'une operation de mesure du temps ecoule, les deux 

composants capacitifs sont charges, a une valeur de tension predeterminee, par 
la source d'energie electrique exterieure, via le microprocesseur 14. Lorsque la 
carte a microcircuit est decouplee du serveur ou lecteur de carte ou autre entite, 




les deux composants capacitifs restent charges mais commencent a se 
decharger au travers de leurs propres espaces dielectriques respectifs et, au fur 
et a mesure que le temps s'ecoule, sans que la carte a microcircuit soit utilisee, 
la charge residuelle de chacun des composants capacitifs decroTt mais 
5 differemment dans Tun ou I'autre, en raison des fuites differentes determinees 
par construction. 

Lorsque la carte est a nouveau couplee a une source d'energie 6lectrique 
exterieure, par exemple a ('occasion d'une nouvelle utilisation de I'objet, les 
charges residuelles des deux composants capacitifs sont representatives du 
10 meme intervalle de temps qu'on cherche a determiner mais different en raison 
des variations de temperature qui ont pu se produire pendant toute cette periode 
de temps. 

Au moment de la reutilisation de I'objet, les deux transistors a effet de 
champ de ces deux sous-ensembles sont alimentes et les valeurs des courants 

15 de drain sont lues et traitees par le microcircuit. Pour chaque couple de valeurs 
de courant de drain, le microcircuit va chercher en memoire, dans le tableau T 
rnentionne precedemment, la valeur de temps correspondante. Cette valeur de 
temps est alors comparee a la duree de vie V et I'utilisation de I'objet n'est 
autorisee que si ie temps ecoule est inferieur a la duree de vie V. 

20 En variante, cette valeur de temps peut etre comparee avec une valeur 

disponible dans le serveur ou lecteur de carte ou autre entite, de preference 
securisee. De plus, ^utilisation de I'objet peut n'etre autorisee que si, non 
seulement le temps ecoule respecte la duree de vie de I'objet, mais si en outre, 
la valeur de temps obtenue dans la carte (par exemple la valeur de temps 

25 memorisee dans le tableau T) est compatible avec la valeur disponible dans le 
serveur ou lecteur de carte ou autre entite, c'est-a-dire si en outre ces deux 
valeurs coincident ou sont relativement proches, selon une tolerance choisie au 
prealable. 

II n'est pas necessaire de memoriser le tableau T. Par exemple, le module 
30 de traitement, c'est-a-dire essentiellement le microprocesseur 14, peut 
comporter une partie de logiciel de . calcul d'une fonction predeterminee 
permettant de determiner ladite information sensiblement independante des 
apports calorifiques en fonction des deux mesures. 



# 



19 

Le troisieme sous-ensemble 17C comporte, comme decrit plus haut, un 
espace dielectrique extremement mince le rendant insensible aux variations de 
temperature. 

D'autres variantes sont possibles. En particulier, si on veut simplifier le 
sous-ensemble 17, on peut envisager de supprimer le composant capacitif 20 en 
tant que tel. car le transistor 30 a effet de champ peut lui-meme etre considere 
comme un composant capacitif avec la grille 28b et le substrat 36 en tant 
qu'armatures, ces dernieres etant separees par I'espace dielectrique 34. Dans ce 
cas, on peut considerer que le composant capacitif et I'unite de mesure sont 
confondus. 

II existe plusieurs possibilites pour conserver Indication de temps entre 
les utilisations successives de I'objet. 

Une premiere possibility consiste a charger la cellule qui mesure le temps 
une fois, lors de la creation de I'objet. A chaque tentative d'utilisation de I'objet, 
I'etat de la charge de la cellule de mesure du temps est representatif du temps 
ecoule depuis la creation de I'objet. On compare ce temps a la duree de^vie 
attribute a I'objet et on n'autorise ('utilisation de I'objet que si le temps ecoule?. ne 
depasse pas la duree de vie. 

Une deuxieme possibility consiste a recharger la cellule a chaque mise 
sous tension de I'entite electronique securisee. On mesure ainsi des temps plus 
courts, qu'on vient cumuler : a chaque mise sous tension, le temps ecoule 
depuis la demiere mise sous tension de I'entite electronique securisee est 
mesure, puis le composant capacitif est recharge. On accumule les temps ainsi 
mesures dans un emplacement de la memoire non volatile de I'entite 
electronique. 

Cet emplacement memoire memorise ainsi le temps ecoule depuis la 
premiere mise sous tension et permet de connattre a tout moment le temps 
ecoule depuis la date de reference, independamment de la duree totale 
d'utilisation effective de I'objet. 

On utilise avantageusement un seul composant capacitif pour une 
pluralite d'objets. Cette solution a pour avantage d'utiliser un seul composant 
capacitif ayant une epaisseur d'oxyde relativement faible, ce qui confere une 
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plus grande precision dans la mesure du temps, par comparaison avec le cas 
d'un seul composant pour toute la duree de vie de I'entite electronique. 

Le temps qui s'ecoule entre I'instant de mesure de la charge du 
composant capacitif et le moment de sa recharge est parfois non negligeable. 
Pour prendre en compte cet intervalle de temps, on peut utiliser un second 
composant dont la fonction sera de prendre le relais du premier pendant cet 
intervalle de temps. 

On peut egalement prevoir d'utiliser des composants capacitifs de 
precisions differentes afin d'ameliorer la precision de la mesure : on choisira, 
parmi plusieurs mesures, celle obtenue a partir du composant le plus precis qui 
n'est pas decharge. 

Une troisieme possibilite consiste a utiliser un composant capacitif par 
objet, a recharger au debut de la vie de cet objet. Un avantage de cette 
possibilite est qu'on peut prevoir des composants de mesure du temps adaptes a 
la duree de vie de I'objet en question, pour ameliorer la precision de la mesure 
du temps ; dans la cellule de mesure du temps, en particulier pour ce qui 
concerne I'epaisseur d'oxyde, on a vu par le tableau donne plus haut que le 
choix de I'epaisseur d'oxyde influe sur la precision de la mesure. 

A chaque tentative d'utilisation de I'objet, I'etat de la charge du composant 
capacitif associe a I'objet considere est representatif du temps ecoule depuis la 
creation de I'objet. On compare ce temps a la duree de vie attribuee a I'objet et 
on n'autorise I'utilisation de I'objet que si le temps ecoule ne depasse pas la 
duree de vie. 

En variante, la duree de vie peut correspondre a la duree totale 
d'utilisation effective de I'objet. Dans ce cas, on mesure et on memorise, a 
chaque utilisation de I'objet, le temps ecoule entre le debut et la fin de cette 
utilisation et on cumule tous les temps ainsi mesures ; ainsi, le temps total 
ecoule mesure correspondra a la duree totale d'utilisation effective de I'objet. 

D'autres variantes, a la portee de Phomme du metier, sont possibles. 

Ainsi, conformement a I'invention, I'utilisation du compteur de temps a 
I'interieur de la carte permet d'ameliorer la securite puisque le decompte du 
temps est difficile a falsifier. 




REVENPICATIONS 



1. Entite electronique s§curis<§e (11) comportant des moyens (23),. 
adaptes memoriser au moins un objet, caracterisee en ce qu'elle contient un 
moyen (18) de mesure du temps qui s'ecoule a partir d'une date de reference 
(Dref) associee audit objet et en ce qu'elle comporte : 

- un moyen (19) de memorisation d'une duree de vie (V) attribuee 
audit objet, le moyen (19) de memorisation cooperant avec le moyen (18) de 
mesure du temps de facon a comparer le temps ecoule et ladite duree de vie (V) 
et 

- des moyens (21) de mise a jour et d'invalidation, pour mettre a jour 
ladite duree de vie ou I'objet ou rendre I'objet temporairement ou definitivement 
inutilisable s'il resulte de ladite comparaison que le temps ecoule atteint ou 
depasse la duree de vie (V). 

2. Entite electronique securisee (11) selon la revendication k 1 , 
caracterisee en ce que ladite duree de vie (V) correspond a la duree totale 
d'utilisation effective de I'objet. 

3. Entite electronique securisee (11) selon la revendication . 1 , 
caracterisee en ce que ladite duree de vie (V) est une periode de temps 
independante de la duree totale d'utilisation effective de I'objet. 

4. Entite electronique securisee (11) selon la revendication 1, 2 ou 3, 
caracterisee en ce que le moyen (18) de mesure du temps est adapte a foumir 
une mesure du temps qui s'ecoule a partir de la date de reference (Dref) lorsque 
I'entite electronique (11) n'est pas alimentee par une source d'energie exterieure. 

5. Entite electronique securisee (11) selon la revendication 1, 2 ou 3, 
caracterisee en ce que le moyen (18) de mesure du temps est adapte a foumir 
une mesure du temps qui s'ecoule a partir de la date de reference (Dref) lorsque 
I'entite electronique (1 1) n'est pas alimentee electriquement. 

6. Entite electronique securisee (11) selon Tune quelconque des 
revendications precedentes, caracterisee en ce que le moyen (18) de mesure du 
temps est adapte a fournir une mesure du temps qui s'ecoule a partir de la date 
de reference (Dref) independamment de tout signal d'horloge exterieur. 




7. Entite electronique securisee (11) selon Tune quelconque des 
revendications precedentes, caracterisee en ce que le moyen (18) de mesure du 
temps comporte un moyen de comparaison de deux dates. 

8. Entite electronique securisee (11) selon Tune quelconque des 
5 revendications precedentes, caracterisee en ce que le moyen (19) de 

memorisation de la duree de vie (V) comporte une entite securisee et est situe 
dans ou hors de ladite entite electronique (11). 

9. Entite electronique securisee (11) selon Tune quelconque des 
revendications precedentes, caracterisee en ce que Pobjet est un systeme 

10 d'exploitation, un code secret, un fichier ou un systeme de fichiers, une 
application ou des droits d'acces, 

10. Entite electronique securisee (11) selon Tune quelconque des 
revendications precedentes, caracterisee en ce que la date de reference (Dref) 
est la date de creation de Pobjet. 

15 11. Entite electronique securisee (11) selon Tune quelconque des 

revendications precedentes, caracterisee en ce qu f elle comporte au moins un 

sous-ensemble (17) comprenant : 

un composant capacitif (20) presentant une fuite au travers de son espace 

dielectrique, des moyens permettant de coupler ledit composant capacitif a une 
20 source d'energie electrique pour etre charge par ladite source d'energie 

electrique et 

un moyen (22) de mesure de la charge residuelle du composant capacitif 
(20), ladite charge residuelle etant au moins en partie representative du temps 
qui s'est ecoule apres que le composant capacitif (20) a ete decouple de la 
25 source d'energie electrique. 

12. Entite electronique securisee (11) selon la revendication precedente, 
caracterisee en ce que ledit moyen (22) de mesure de la charge residuelle est 
compris dans ledit moyen (18) de mesure du temps. 

13. Entite electronique securisee (11) selon la revendication 11 ou 12, 
30 caracterisee en ce que le composant capacitif (20) est une capacite realisee 

suivant la technologie MOS et dont Tespace dielectrique est constitue par un 
oxyde de siliciura 



14. Entite electronique securisee (11) selon la revendication 11, 12 ou 13, 
caracterisee en ce que le moyen (22) de mesure de la charge residuelle 
comprend un transistor (30) a effet de champ ayant une couche isolante (34), en 
ce que le composant capacitif (20) eomporte une couche isolante (24) et en ce 
que I'epaisseur de la couche isolante (34) du transistor (30) a effet de champ est 
notablement plus grande que I'epaisseur de la couche isolante (24) du 
composant capacitif (20). 

15. Entite electronique securisee (11) selon la revendication precedente, 
caracterisee en ce que I'epaisseur de la couche isolante (24) du composant 
capacitif (20) est comprise entre 4 et 10 nanometres. 

16. Entite electronique securisee (11) selon la revendication 13, 14 ou 15, 
caracterisee en ce qu'elle eomporte : 

au moins deux sous-ensembles (17A, 17B) comprenant chacun : 

un composant capacitif presentant une fuite au travers;. de son 

espace dielectrique, des moyens permettant de coupler ledit composant 

capacitif a une source d'energie electrique pour etre charge par ladite 

source d'energie 6lectrique et 

un moyen de mesure de la charge residuelle du composant 

capacitif, ladite charge residuelle etant au moins en partie representative 

du temps qui s'est ecoule apres que le composant capacitif a ete 

decouple de la source d'energie electrique, 

lesdits sous-ensembles (17A, 17B) comprenant des composants 

capacitifs presentant des fuites differentes au travers de leurs espaces 

dielectriques respectifs, 
et en ce que ladite entite electronique securisee (11) eomporte en outre : 

des moyens (14, 15, T) de traitement des mesures des charges 
residuelles respectives desdits composants capacitifs, pour extraire desdites 
mesures une information sensiblement independante des apports calorifiques 
appliques a ladite entite (11) pendant le temps ecoule a partir de la date'de 
reference (Dref). 

17. Entite electronique securisee (11) selon la revendication precedente, 
caracterisee en ce que lesdits moyens (14, 15, T) de traitement comportent un 
logiciel de calcul d'une fonction predetermine pour determiner ladite information 




sensiblement independante des apports calorifiques en fonction desdites 
mesures. 

18. Entite electronique securisee (11) selon I'une quelconque des 
revendications precedentes, caracterisee en ce qu'i! s'agit d'une carte a 
microcircuit. 

19. Entite electronique securisee (11) selon I'une quelconque des 
revendications precedentes, caracterisee en ce qu'i! s'agit d'une carte PCMCIA. 
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